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(57) Abstract: The invention relates to a method for secure transfer of internet protocol services, and IP services, via a radio medium. 
According to said method, data is divided into DVB transport packets. The DVB transport packets are encrypted by the transmitter 
of a dedicated device, for example, a multipIexer/MUX (4) or a separate scrambler, transmitted via saiellite(9) and decrypted in a 
DVB receiver 6, for example, a set-top-box STB, a PC plugin card or a DVB server in a LAN. The obtained IP data is then relayed 
to the corresponding machines/applications such as a PC(8), a router or a TCP/IP-stack. 

(57) Zusammenfassung: Die Erflndung bezieht sich auf ein Verfahren zur abhdrsicheren tibertragung von Internet Protocol -Diens- 
ten, IP-Diensten, tiber ein Rundfunkmedium, bei dem die ankommenden IP-Daten in DVB-Transportpakete aufgeteilt werden. Die 
DVB-Transportpakete werden dann auf Sendeseite von einem dedizierten GerSt wie beispielsweise einem Multiplexer/MUX (4) oder 
einem separaten Scrambler verschJUsselt, Uber einen Satelliten (9) transportiert und auf der Empfangsseite von einem DVB-Emp- 
fangsgerat (6), wie beispielsweise einer Set-Top-Box STB, einer PC-Steckkarte oder einem DVB-Server in einem LAN entschltisselt 
Die so erhaltenenen IP-Daten werden dann an die entsprechenden Gerate/Applikationen wie einen PC (8), einen Router oder einen 
TCP/IP-Stack weitergegeben. 
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Verfahren zur abhorsicheren Ubertragung v n IP-Diensten fiber ein 
Rundfunkmedium 

5 Beschreibung: 

Die Erfindung bezieht sich auf ein Verfahren zur abhorsicheren Ubertragung von 
Internet-Protocol-Diensten, IP-Diensten, fiber ein Rundfunkmedium gemaiJ dem 
Oberbegriff des vorliegenden Patentanspruches. 

10 Der Zugang eines Kunden zum Internet erfolgt heute in der Regel durch Einwahl fiber 
eine Punkt-zu-Punkt-Verbindung (Modem, ISDN) in den mit Point of Presence, POP, 
bezeichneten Zugang eines Internet Service Providers, ISP, wie zum Beispiel T-Online 
der Deutschen Telekom AG mit Point to Point Protocoll, PPP. Nach Zuweisung einer 
temporaren EP-Adresse an den Kunden wird der gesamte IP-Verkehr von und zu dieser 

15 IP-Adresse fiber die Punkt-zu-Punkt-Verbindung geroutet. Urn die Performanz der 
Anbindung des Kunden an das Internet zu erhohen, werden einerseits neue Techniken 
auf der Telefonleitung eingesetzt (z.B. ADSL, T-Online Speed, http://www.t- 
online.de/service/index/adssvxaa.htm), andererseits werden audi neue bereits 
vorhandene Ubertragungsmedien wie das Breitband Kabelnetz, BK-Kabelnetz und 

20 Satelliten eingesetzt (z.B. high-Speed Internet fiber Satellit, 
siehe: http://ww.astra.lu/multimedia/applications/conm 
internet.htm.). 

Das BK-Kabelnetz und Satelliten werden bereits in betrachtlichem Umfang zur 
Verbreitung von digitalem Fernsehen nach den Digital Video Broadcasting-Standards, 

25 DVB-Standards (bzw. aquivalenter Standards in den USA und anderen 
auBereuropaischen Staaten) genutzt. Eine besondere Rolle spielt hier Pay-TV. Bei 
diesem entgeltpflichtigen Dienst werden die Inhalte mit einem 
Verschlfisselungaigorithmus (z.B. DVB Scrambling Algorithmus, www.dvb.org . oder 
DES) unter Kontrolle eines Sitzungsschlfissels („Kontrollwort", CW) verschlfisselt 

30 fibertragen. Der Kunde benotigt eine Set-Top-Box STB mit einem ^Conditional 
Access"-System CA genannten Schlfisselmanagement, um diese Inhalte entschlfisseln 
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zu konnen. Dazu wird das Sicherheitsmodul der Set-Top-Box STB (in der Regel eine 
Chipkarte) mit einer speziellen Nachricht, einer sogenannten Entitlement Management 
Message" EMM freigeschaltet Nach dieser Freischaltung kann dieses andere spezielle 
Nachrichten, die sogenannten Entitlement Control Messages" ECM entschliisseln und 
5 die zum Entschlusseln der Ihhalte benotigten Sitzungsschlussel, die sogenannten 
„Control Words" CW, ausgeben. (Vgl. auch J. Schwenk, "Conditional Access" oder 
Wie kann man den Zugriff auf Rundfunksendungen kontrollieren? taschenbuch der 
telekom praxis 1996, Hrsg. Bernd Seiler, Schiele & Schon, Berlin 1996, oder J. 
Schwenk, Sicherheit bei Pay-TV. Proc. 2. ITG-Fachtagung Codierung fiir Quelle, Kanal 

10 und Ubertragung.) Die Verschlusselung der Inhalte stellt dabei eine sogenannte 
Leitungsverschliisselung (Link Encryption) dar, bei der ledi^ich der Transportweg fiber 
Satellit verschlusselt wird. Innerhalb des Transportweges, wie beispielsweise eines 
Ubertragungskanals, ist dabei jedoch kein Schutz zwischen den auf den 
Ubertragungskanal zugriffsberechtigten -Kunden selber gewahrleistet, d.h. berechtigte 

15 Kunden konnen auf die Inhalte anderer Kunden (private E-Mails, HTML-Seiten) 
zugreifen. 

Die neuen Medien Satellit und BK-Netz (und auch andere Medien wie z.B. 
terrestrischer Rundfunk, Passive optische Netze, PONs, ...) arbeiten im Gegensatz zum 
Telefonnetz nach dem Rundfiink-Prinzip, wobei Daten, die an einen Teilnehmer uber 
20 diese Medien gesendet werden, auch andere Teilnehmer, die uber dieses Medium 
angeschlossen sind, in gleicher Qualitat erreichen. Im Folgenden soil der 
Ubertragungsweg via Satellit stellvertretend fur alle anderen Ubertragungswege stehen. 
CA-Verfahren sind heute die einzigen praktisch eingesetzten Schlusselmanagement- 
Verfahren, die in diesem Rundfunk-Szenario funktionieren. 



Bei Internet-Diensten wie WWW, E-mail und FTP ist bekannt, dass die ubertragenen 
Daten ungeschutzt iiber das Internet iibertragen werdecu Bei sicherheitskritischen 
Anwendungen setzt man daher verschiedene Sicherheitstechniken ein, z.B. das von der 
Firma Netscape entwickelte „Secure Sockets Layer"-Protokoll fiir Homebanking, SSL. 
30 Angriffe auf die ungeschutzten Daten im Internet erfordern aber zumindest ein geringes 
Expertenwissen und vor allem einen Zugang zu den Leitungen oder Vennittlungknoten 
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(Routera) im Internet Diese Anforderungen werden nur von einem kleinen 
Personenkreis erfullt Dadurch ist es moglich, Angriffe auf ungeschutzte Daten unter 
Strafe zu stellen. 

Bei der Ubertragung von Internet-Daten uber ein Rundfunkmedium, beispielsweise 
5 mittels Satellit, konnen die ubertragenen Daten von nicht berechtigten Personen 
mitgelesen werden. Geringe Kenntnisse uber die Protokollschichten des Internet- 
Protocolls, IP, genugen, urn den gesamten IP-Verkehr mitzuschneiden. (Als Analogon 
aus der bisherigen IP-Welt konnen die Sniffing-Angriffe auf den IP-Verkehr innerhalb 
eines Ethernt-LAN's angesehen werden. Hier braucht man nur die Ethernet-Karte in den 
10 „promiscous mode" umzuschalten und kann so den gesamten IP-Verkehr mitlesen. Die 
dazu benotigten Sniffer-Programme sind frei erhaltlich und aufierst leicht zu bedienen. 

Der Erfindung liegt die Aufgabe zugrunde, ein Verfahren der eingangs genannten Art 
anzugeben, bei welchem der IP-Verkehr so uber ein Rundfunkmedium ubertragen wird, 
15 dass unbefagte Personen, die ebenfells Zugriff auf das betreffende Rundfunkmedium 
bzw. den betreffenden Rundfunkkanal haben, den Dateninhalt nicht entschliisseln 
konnen. 

Die technische Aufgabe wird durch die im Kennzeichen des Patentanspruches 1 
angegebenen Verfahrensmerkmale gelost. 
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Das erfindungsgemaBe Verfahren basiert auf der gesicherten Ubertragung des IP- 
Verkehrs uber Rundfunkmedien, wobei die ankommenden IP-Daten in DVB- 
Transportpakete, wie MPEG-2 Transport-Pakete aufgeteilt werden. MPEG-2 ist ein 
Meraationaler Standard zur Kompression und Ubertragung von digitalen Bewegtbildern 
5 nach der Norm ISO/IEC 13818. Diese Pakete werden dann auf Sendeseite von einem 
dedizierten Gerat, wie beispielsweise einem Multiplexer, MUX 4 oder einem separaten 
Scrambler, verschlusselt, fiber die Rundftmkstrecke fibertragen und auf der 
Empfangsseite von einem DVB-Empfangsgerat 6, wie beispielsweise einer Set-Top-Box 
STB, einer PC-Steckkarte oder einem DVB-Server in einem LAN, entschlusselt. Die so 

10 erhaltenenen IP-Daten werden dann an die entsprechenden Gerate/Applikationen wie 
einen PC, einen Router oder einen TCP/IP-Stack) weitergegeben. 
Das erfindungsgemaBe Verfahren setzt das Vorhandensein eines Schlusselmanagement- 
Systems wie beispielsweise ein Conditional-Access-System, CA-System und ein DVB- 
Empfangsgerat, wie beispielsweise eine Set-Top-Box oder entsprechenden PC- 

15 Steckkarten beim Kunden voraus. Der Kunde empfangt den IP-Verkehr uber die Set- 
Top-Box oder die PC-Steckkarte beispielsweise von einem Satelliten 9. Der Ruckkanal 
kann iiber Satellit 9 (BK-Netz), uber Modem oder fiber ISDN realisiert sein. 
ErfindungsgemaB wird vor der Ubertragung der ff-Daten zum Kunden die Zieladresse 
(IP-Adresse bzw. TCP-Portnummer) des Anschlusses des Kunden 

20 - erstens mit einem DVB-Service, der in der Service Information (SI) von DVB 
signalisiert wird und 

- zweitens mit der eindeutigen Identifikationsnuinmer N der dem Kunden zugeordneten 
Empfangs-Komponente des CA-Systems 6a verkniipft. 

Die Sende-Komponente des CA-Systems 3 sendet eine spezielle mit EMM (Entitle 
25 Management Message) bezeichnete Nachricht zur Freischaltung des DVB- 

Empfangsgerates 6 des Kunden fur den betreffenden DVB Service. 

Der fur die IP-Adresse ankommende IP-Verkehr wird vor der Ubertragung fiber das 

Rundfiinkmedium von einem IP-Encapsulator 2 in DVB-Empfangspakete, vorzugsweise 

MPEG-2-Transportpakete, aufgeteilt und mit den zugehorigen Kontrollnachrichten 
30 ECM's verschlusselt. Eine ECM (Entitlement Control Message) ist eine Nachricht, mit 

der neue Kontrollworter ubertragen und so Empfangsberechtigungen fiberpruft werden. 
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Liegt tine Freischaltung fiir das DVB-Empfangsgerat 6 vor, so gibt das 
Sicherheitsmodul das Kontrollwort zuriick. Das Das DVB-Empfangsgerat 6 
entschliisselt die ubertragenen DVB-Transportpakete, entpackt sie und leitet sie zum 
bestimmungsgemafien Empfanger, wie beispielsweise einen PC 9, weiter. 



Nachfolgend wird der konkrete Ablauf des Verfahrens naher erlautert: 

1 . Der PC 8 meldet sich fiber den Ruckkanal bei einem IP-DVB-POP 5 an. Dabei muss 
er die eindeutige Identifikationsnummer N des CA-Sicherheitsmoduls 3 (d.h. der 

1 0 Chipkarte) mit angeben. 

2. Vom IP-DVB-POP 5 erhalt der PC sowohl eine temporare IP-Adresse IP X als auch 
eine temporare DVB Service Nummer ID Y zugewiesen. 

3. Der IP-DVB-POP 5 teilt dem IP-Encapsulator 2 das aus der temporaren IP-Adresse 
IP X und der temporaren DVB Service Nummer ID Y bestehende Paar (IPx, ID Y ) mit 

1 5 4. Der IP-Encapsulator 2 aktualisiert die von ihm generierten SI-Tabellen und weist der 
DVB Service Nummer IDy eine Paket Identifikations Nummer PID Z zu- Der IP- 
Encapsulator 2 verpackt von nun an alle IP-Pakete mit Zieladresse IPx in DVB- 
Pakete mit der Paket Identifikations Nummer PIDz. 

5. Der IP-DVB-POP 2 teilt der Sende-Komponente des CA-Systems 3 das aus der 
20 DVB Service Nummer ID Y und der Identifikationsnummer N des CA- 
Sicherheitsmoduls 2 (d. h. der Chipkarte) bestehende Paar (E> Y ,N) mit. 

6. Die Sende-Komponente des CA-Systems 3 generiert eine Freischalt-EMM fiir die 
Identifikationsnummer des Sicherheitsmoduls N und den Service mit der DVB 
Service Nr. ID Y . Die Freischalt-EMM (Entitle Management Message) ist eine 

25 spezielle Nachricht zur Freischaltung des DVB-Empfangsgerates 6, beispielsweise 
einer internen DVB PC-Karte oder einer externen Set Top Box STB. Auf 
Anforderung des Multiplexers MUX 4 generiert die Sende-Komponente des CA- 
Systems 3 Kontrollnachrichten, ECM's fiir den Service mit der DVB Service Nr. Y. 
Eine ECM, Entitlement Control Message, ist eine Nachricht mit der neue 

30 Kontrollworter ubertragen und Empfangsbestatigungen uberpruft werden. 
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1. Der PC 8 veranlasst das DVB-Empfangsgerat 6, auf die DVB Service Nummer IDy 
umzuschalten. Das DVB-Empfangsgerat 6 empfangt die Freischdte-Nachricht 
EMM. Von nun an kann das DVB-Empfangsgerat 6 alle Kontrollnachrichten ECM's 
fur den Service mit der DVB Service Nr. Y und somit auch den Service Y 



8. Beim Abmelden des PC 8 oder nach einer bestimmten Ruhezeit wird die 
Assoziation (X,Y) durch den IP-DVB-POP 5 aufgehoben. Dies wird der Sende- 
Komponente des CA-Systems 3 und dem IP-Encapsulator 2 mitgeteilt. 

1 0 Die Erfindung wird anhand eines Ausfiihrungsbeispiels naher erlautert. 
Fig. 1 zeigt ein Blockschaltbild zur Erlauterung des Verfahrens. 
Dem Ausfuhrungsbeispiel liegt die Annahme zugrunde, dass ein Kunde beispielsweise 
iiber das Internet ein sehr groBes Software Paket mit einem Datenfile von ca.100 MByte 
erworben hat und es per Filetransfer FTP auf die Festplatte seines PC 8 laden mochte. 

15 Mit einer ISDN-Verbindung (64 kbit/s) wurde der Filetransfer von ca. 100MByte etwa 
3,472 Stunden dauern. 

Wenn der Kunde den Filetransfer jedoch per Satellit 9 vornehmen wurde, so konnte der 
Download von ca. 100 Mbyte in ca. 3,4 Minuten abgeschlossen sein. Das liegt darin 
begrundet, dass dem Kunden zum Filetransfer per Satellit 9 kurzfristig eine 

20 Ubertragungsrate von 4 Mbit/s zur Verfiigung steht. 

Der Kunde besitzt einen PC mit Satellitentuner und MPEG-2-Demultiplexer auf einer 
Einschubkarte. Der MPEG-2-Demultiplexer ist mit einer Satellitenantenne verbunden. 
Bevor der Download startet, erscheint ein Dialog, bei dem der Kunde aufgefordert wird, 
einen Ubertragungsweg zu wahlen. Wahlt er den Ubertragungsweg Satellit 9, wird er in 

25 einem weiteren Fenster dazu aufgefordert, die Nummer seiner CA-Chipkarte 
einzugeben. Die Nummer der CA-Chipkarte ist nicht geheim. 

Auf der Sendeseite wird dem FTP-Download ein DVB-Service und diesem Service ein 
Paket Identifikations Nummer PE) Z (Packet-Identifier) zugeordnet. Fur diesen Service 
wird eine Freischaltungs-EMM generiert und an die angegebene Chipkartennummer 
30 (per Satellit 9 oder per Ruckkanal) versandt Optional kann hier Online noch einmal die 
Ankunft der Freischaltungs-EMM uberpriift werden. 



5 
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Der IP-Encapsulator 2 verpackt die IP-Pakete des FTP-Downloads in MPEG-2-Pakete 
mit der entsprechenden Paket Identifikations Nummer PIDz. Die Sende-Komponente 
des CA-Systems 3 verschlusselt die Pakete mit der Paket Identifikations Nummer PID Z 
und generiert die zugehorigen Konrtrollnachrichten ECMs. 
5 Die verschlusselten Pakete werden per Satellit 9 ubertragen. Durch die Verschlusselung 
ist sichergestellt, dass der kostenpflichtige Inhalt nicht von Dritten empfangen werden 
kann. 

Das setzt jedoch auch voraus, dass die Verschlusselung fur jeden Kunden individual 
erfolgen muss. Das heifit, es genugt nicht fiir alle Kunden die gleiche Verschlusselung 
10 einzusetzen, da alle anderen Kunden die Ubertragung sonst einfach mitschneiden 
konnten. 

Auf der Einsteckkarte im PC 8 des Kunden wurde bereits ein Filter gesetzt, der die zu 
dem DVB-Service gehorenden Kontrollnachrichten, ECM's filtert und an die Chipkarte 
weiterleitet. 

1 5 Die Chipkarte priift, ob ein Recht zum Empfang dieses DVB-Service vorhanden ist und 
gibt ggf. den Sitzungsschlussel an den Entschliisselungsalgorithmus der PC-Steckkarte 
aus. Diese entschlusselt die MPEG-2-Pakete, entpackt die darin enthaltenen IP-Pakete 
und leitet diese an den TCP/IP-Stack des PC 8 weiter. 

Ab diesem Zeitpunkt kann der PC 8 nicht mehr unterscheiden, ob die IP-Pakete per 
20 Satellit 9 geliefert wurden oder per ISDN-Leitung. 

Eine zweckmaBige Ausgestaltung des Verfahrens besteht darin, dass die Freischaltung 
per Freischaltungs EMM nicht langer als einen Tag giiltig ist und dass eine DVB- 
Service-Nummer ID nur einmal pro Tag benutzt werden kann. Diese MaBnahmen tragen 
25 zur Erhohung der Sicherheit des Verfahrens bei. 



30 
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Bezugszeichenaufstellung: 

1 Internet 

2 IP-Encapsulator 

5 3 Sende-Komponente des CA-Systems (Schlusselmanagement-System) 

4 Multiplexer / MUX 

5 IP-DVB-POP 

6 DVB-Empfangsgerat 

6a Empfangs-Komponente des CA-Systems 

10 7 Ruckkanal 

8 PC 

9 Satellit 
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N Identifikationsnummer des Sicherheitsmoduls 

IPx temporare IP-Adresse 

ID Y temporare DVB Service Nummer 

20 PIDz Paket Identifikations Nummer (Nummer zur Identifikation der 

Transpor^)akete) 

ECM Kontrollnachricht 

(Nachricht mit der neue Kontrollworter ubertragen und 
25 Empfangsberechtigungen uberpruft werden ) 

EMM Freischalte-Nachricht) 

(Nachricht mit der individuell neue Empfangsberechtigungen erteilt 
werden) 

30 

SI Service-Information des DVB 



35 



WO 01/97525 



PCT/EP01/05343 



9 

Patentanspruche: 

L Verfahren zur abhorsicheren Bereitstellung vom IP-Diensten uber ein Rundfank- 
medium, bei dem der Kunde fiber ein DVB-Empfangsgerat (6) mit der Empfangs- 
5 Komponente eines CA Systems (6a) verfugt, 

dadurch gekennzeichnet, dass vor der Ubertragung der IP-Daten zum 
Kunden die aus einer IP-Adresse bzw. einer TCP- Portnummer bestehenden 
Zieladresse des Anschlusses des Kunden 

a) mit einem DVB-Service, der in der Service Information (SI) vom DVB 
1 0 signalisiert wird und 

b) mit der eindeutigen Identifikationsnummer (N) der dem Kunden zugeordneten 
Empfangs-Komponente des CA-Systems (6a) verbunden wird, 

- dass die Sende-Komponente des CA-Systems (3) mittels einer Freischalte- 
Nachricht (EMM) eine Freischaltung fur diesen DVB Service an die eindeutige 

1 5 Nummer der Empfangs-Komponente des CA-Systems (6a) sendet, 

- dass der fur die IP-Adresse des Kunden ankommende IP-Verkehr von einem DP- 
Encapsulator (2) in DVB-Transportpakete des DVB-Services veipackt und mit 
den zugehorigen Kontrollnachrichten (ECM's) versehen zum Kunden ubertragen 
wird, 

20 - dass nach Verarbeitung der Kontrollnachrichten (ECM's) und der Freischalte- 
Nachrichten (EMM's) das DVB-Empfangsgerat (6) die DVB-Transportpakete 
entschlusselt, die IP-Pakete entpackt und die entpackten IP-Pakete an das 
bestimmungsgemaBe Endgerat, PC (8) des betreffenden Kunden weiterleitet. 



25 2. Verfahren nach Anspruch 1 , dadurch gekennzeichnet, 

- dass der Kunde sich mittels seines PC (8) iiber den Ruckkanal (7) beim IP-DVB- 
POP (5) unter Angabe der eindeutige Identifikationsnummer des Sicherheits- 
moduls (N) der Empfangskomponente des CA-Systems (6a) anmeldet, 

- dass dem Kunden vom IP-DVB-POP (5) eine temporare IP-Adresse (IP X ) und 
30 eine temporare DVB Service Nummer (ID Y ) zugewiesen werden, 
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- dass der IP-DVB-POP (5) dem EP-Encapsulator (2) das aus der temporaren IP- 
Adresse (IPx) und der temporaren DVB Service Nummer (IDy) bestehende 
Wertepaar (IPx,IDy) mitteilt, 

- dass der IP-Encapsulator (2) die von ihm generierten Sl-Tabellen aktualisiert, der 
DVB Service Nummer (ID Y ) eine Paket Identifikations Nummer (PID Z ) zuweist 
und ab diesem Zeitpunkt alle IP-Pakete mit der Zieladresse (DPx) in DVB- 
Transportpakete mit der Paket Identifikations Nummer (PIDz) verpackt 

- dass der IP-DVB-POP (2) der Sende-Komponente des CA-Systems (3) das aus 
der temporaren DVB Service Nummer (EDy) und der Identifikationsnummer des 
Sicherheitsmoduls N bestehende Wertepaar Paar (IDy,N) mitteilt, 

- dass die Sende-Komponente des CA-Systems (3) eine Freischalte-Nachricht 
EMM 

fur die Identifikationsnummer des Sicherheitsmoduls (N) und die temporare 
DVB 

Service Nummer (IDy) generiert und dass auf Anforderung des Multiplexers (4) 
die Sende-Komponente des CA-Systems (3) Kontrollnachrichten (ECMs) fur den 
Service mit der temporaren DVB Service Nummer (IDy) generiert, 

- dass der PC (8) das als interne DVB PC-Karte bzw. als externe Set Top Box STB 
ausgebildete DVB-Empfangsgerat (6) veranlasst, auf die temporare DVB Service 
Nummer (ID y ) umzuschalten, und dass die interne DVB PC-Karte oder die 
externe Set Top Box die Freischalte-Nachricht (EMM) empfangt und damit in 

der 

Lage ist, alle Kontrollnachrichten (ECM's) zur DVB Service Nummer (IDy) und 
somit auch den Service mit der temporaren DVB Service Nummer IDy zu 
entschlusseln, und 

- dass beim Abmelden des PC (8) bzw. nach einer frei definierbaren Ruhezeit die 
Assoziation (IP x ,IDy) durch den IP-DVB-POP (5) wieder aufgehoben wird, und 

- dass dieser Sachverhalt der Sende-Komponente des CA-Systems (3) und dem IP- 
Encapsulator (2) mitgeteilt wird. 
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